Overføring av personopplysninger til USA
Kommisjonsvedtak 2004/535/EF av 14. mai 2004 om tilstrekkelig vern av personopplysninger som finnes i registre over flypassasjer og som overføres til USAs toll- og grensekontrollmyndigheter
Commission Decision 2004/535/EC of 14 May 2004 on the adequate protection of personal data contained in the Passenger Name Record of air passengers transferred to the United States' Bureau of Customs and Border Protection
Nærmere omtale
BAKGRUNN (fra departementets bakgrunnsnotat)
Sammendrag av innholdet
Direktiv 95/46/EF (personverndirektivet) ble innlemmet i EØS-avtalen ved EØS-komiteens beslutning nr. 183/1999. I henhold til dette direktivet har Kommisjonen etter hvert truffet en rekke vedtak som alle er innlemmet i EØS-avtalen. Den 14. mai 2004 traff Kommisjonen vedtak 2004/535/EF om overføring av passasjeropplysninger til USA. Vedtaket fastslår at flyselskaper kan overføre visse typer passasjeropplysninger til USA i forbindelse med flyginger dit.
Merknader
Kort tid etter 11. september 2001 vedtok amerikanske myndigheter enkelte nye lover som innebærer at flyselskaper som flyr til USA, må gi de amerikanske toll- og immigrasjonsmyndighetene tilgang til passasjerlister og bookinginformasjon fra sine reservasjonssystemer. Opplysningene vil bl.a. bli sammenliknet med opplysninger i andre databaser før de reisende kommer inn i USA. Flyselskaper som ikke aksepterer amerikanske krav, risikerer å ikke få honorert trafikkrettigheter som er hjemlet i bilaterale luftfartsavtaler med USA.
Lov om behandling av personopplysninger (personopplysningsloven) av 14. april 2000 nr. 31 gjennomførte direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet). Loven regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater. Hovedregelen er at personopplysninger bare kan overføres til mottakere i stater som sikrer en forsvarlig behandling av opplysningene, jf. § 29 i loven. Direktivet gir Kommisjonen myndighet til å forhandle og inngå avtaler med stater utenfor EØS-området som i utgangspunktet ikke oppfyller kravene til behandling av personopplysninger. Vedtak 2004/535/EF om overføring av passasjeropplysninger til USA ble godkjent av Rådet 17. mai 2004.
Norge, representert ved Datatilsynet, deltar i det forberedende arbeidet i den komiteen som bistår Kommisjonen (artikkel 29-gruppen), og reserverte seg ikke mot rettsakten før vedtaket trådte i kraft i EU. Norge var da iflg. regelverket forpliktet til å gi tiltakene anvendelse samtidig med EU-landene, jf. EØS-komiteens beslutning nr. 83/1999.
Norge har et nært samarbeid med EU og USA om tiltak mot internasjonal terrorisme, både i internasjonale fora og bilateralt. Avtalen mellom EU og USA om utveksling av passasjeropplysninger er inngått i forlengelsen av dette nære samarbeidet. Grunnleggende personvernprinsipp er at det ikke skal samles inn og lagres flere personopplysninger enn det som er nødvendig for et formål, at slike opplysninger ikke skal lagres lengre enn det som er nødvendig, at tilgangen til personopplysningene skal begrenses og at overføringen av personopplysninger skal stå i forhold til formålet. Artikkel 29-gruppen (en ekspertgruppe under Kommisjonen) påpekte personvernhensyn som etter deres syn ikke var helt ut ivaretatt i rettsakten, og disse hensyn ble tatt med i Kommisjonens videre behandling av saken. Kommisjonens forhandlere oppnådde vesentlige innrømmelser i forhold til kravene som opprinnelig ble fremsatt fra USAs side. Konsekvensene ved ikke å akseptere rettsakten ville være betydelige for EØS-samarbeidet, flyselskap og reisende til USA – uten at gevinster for personvernet av denne grunn ville kunne oppnås.
Beslutningen faller inn under nåværende § 6-1 i personopplysningsforskriften, og det er derfor ikke nødvendig å supplere personopplysningsloven eller forskriften i dette tilfellet.
Sakkyndige instansers merknader
Kommisjonsvedtaket har vært forelagt Finansdepartementet, Justisdepartementet, Samferdselsdepartementet og Utenriksdepartementet. Ingen av departementene hadde merknader til Moderniseringsdepartementets fremstilling og vurdering av saken. Moderniseringsdepartementet har derfor gitt sin tilslutning.
Sammendrag av innholdet
Direktiv 95/46/EF (personverndirektivet) ble innlemmet i EØS-avtalen ved EØS-komiteens beslutning nr. 183/1999. I henhold til dette direktivet har Kommisjonen etter hvert truffet en rekke vedtak som alle er innlemmet i EØS-avtalen. Den 14. mai 2004 traff Kommisjonen vedtak 2004/535/EF om overføring av passasjeropplysninger til USA. Vedtaket fastslår at flyselskaper kan overføre visse typer passasjeropplysninger til USA i forbindelse med flyginger dit.
Merknader
Kort tid etter 11. september 2001 vedtok amerikanske myndigheter enkelte nye lover som innebærer at flyselskaper som flyr til USA, må gi de amerikanske toll- og immigrasjonsmyndighetene tilgang til passasjerlister og bookinginformasjon fra sine reservasjonssystemer. Opplysningene vil bl.a. bli sammenliknet med opplysninger i andre databaser før de reisende kommer inn i USA. Flyselskaper som ikke aksepterer amerikanske krav, risikerer å ikke få honorert trafikkrettigheter som er hjemlet i bilaterale luftfartsavtaler med USA.
Lov om behandling av personopplysninger (personopplysningsloven) av 14. april 2000 nr. 31 gjennomførte direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet). Loven regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater. Hovedregelen er at personopplysninger bare kan overføres til mottakere i stater som sikrer en forsvarlig behandling av opplysningene, jf. § 29 i loven. Direktivet gir Kommisjonen myndighet til å forhandle og inngå avtaler med stater utenfor EØS-området som i utgangspunktet ikke oppfyller kravene til behandling av personopplysninger. Vedtak 2004/535/EF om overføring av passasjeropplysninger til USA ble godkjent av Rådet 17. mai 2004.
Norge, representert ved Datatilsynet, deltar i det forberedende arbeidet i den komiteen som bistår Kommisjonen (artikkel 29-gruppen), og reserverte seg ikke mot rettsakten før vedtaket trådte i kraft i EU. Norge var da iflg. regelverket forpliktet til å gi tiltakene anvendelse samtidig med EU-landene, jf. EØS-komiteens beslutning nr. 83/1999.
Norge har et nært samarbeid med EU og USA om tiltak mot internasjonal terrorisme, både i internasjonale fora og bilateralt. Avtalen mellom EU og USA om utveksling av passasjeropplysninger er inngått i forlengelsen av dette nære samarbeidet. Grunnleggende personvernprinsipp er at det ikke skal samles inn og lagres flere personopplysninger enn det som er nødvendig for et formål, at slike opplysninger ikke skal lagres lengre enn det som er nødvendig, at tilgangen til personopplysningene skal begrenses og at overføringen av personopplysninger skal stå i forhold til formålet. Artikkel 29-gruppen (en ekspertgruppe under Kommisjonen) påpekte personvernhensyn som etter deres syn ikke var helt ut ivaretatt i rettsakten, og disse hensyn ble tatt med i Kommisjonens videre behandling av saken. Kommisjonens forhandlere oppnådde vesentlige innrømmelser i forhold til kravene som opprinnelig ble fremsatt fra USAs side. Konsekvensene ved ikke å akseptere rettsakten ville være betydelige for EØS-samarbeidet, flyselskap og reisende til USA – uten at gevinster for personvernet av denne grunn ville kunne oppnås.
Beslutningen faller inn under nåværende § 6-1 i personopplysningsforskriften, og det er derfor ikke nødvendig å supplere personopplysningsloven eller forskriften i dette tilfellet.
Sakkyndige instansers merknader
Kommisjonsvedtaket har vært forelagt Finansdepartementet, Justisdepartementet, Samferdselsdepartementet og Utenriksdepartementet. Ingen av departementene hadde merknader til Moderniseringsdepartementets fremstilling og vurdering av saken. Moderniseringsdepartementet har derfor gitt sin tilslutning.